(19) 日本国特許厅(JP)

(12)公開特許公報(A)

(11)特許出願公開番号

特**阻2004-245988** (P2004-245988A)

(43) 公開日 平成16年9月2日(2004.9.2)

(51) Int.Cl.<sup>7</sup>
G09C 1/00

F I

G09C 1/00 610A

テーマコード(参考)

5 J 1 O 4

審査請求 未請求 請求項の数 12 OL (全 12 頁)

(21) 出願番号

特顧2003-34591 (P2003-34591)

(22) 出願日

平成15年2月13日 (2003.2.13)

(71) 出願人 000002185

ソニー株式会社

東京都品川区北品川6丁目7番35号

(74)代理人 100094053

弁理士 佐藤 隆久

(72) 発明者 金丸 昌司

東京都品川区北品川6丁目7番35号 ソ

二一株式会社内

Fターム(参考) 5J104 JA05

(54) 【発明の名称】データ処理装置、その方法およびそのプログラムと線形変換回路および暗号化回路

# (57)【要約】

【課題】アクティブS-box数を最大にする線形変換を特定するデータ処理方法を提供する。

【解決手段】複数の線形変換候補のうち、当該線形変換候補を実現する回路上の制約を満たす複数の前記線形変換候補を特定し(ST1,ST2,ST3)、当該特定した線形変換候補のそれぞれについて複数の入力データを基に線形変換処理を行い、それらの処理結果内に生じる零の数の最小値(いわゆるアクティブS-box)を求め(ST4~ST9)、その最小値を最大とする線形変換候補を特定する(ST1 0)。そして、当該特定した線形変換候補を基に、線形変換部を構成する(ST11)。

【選択図】

図4





# ・【特許請求の範囲】

## 【請求項1】

線形変換を実現する回路上の制約をそれぞれ満たす複数の線形変換候補を特定する第1の 工程と、

前記第1の工程で特定した前記複数の線形変換候補のそれぞれについて、複数の入力データに対して当該線形変換候補が規定する線形変換を行ったそれぞれの結果に零が生じる個数の最小値を特定する第2の工程と、

前記第1の工程で特定した前記複数の線形変換候補のうち、前記第2の工程で特定した前記最小値が最大となる前記線形変換候補を特定する第3の工程と

を有するデータ処理方法。

## 【請求項2】

前記第1の工程は、前記複数の線形変換候補として、置換行列内の2つの零領域のうちー方を変数行列で置き換えた複数の単位線形変換の合成である線形変換を特定し、

前記第2の工程は、前記複数の単位線形変換の前記変数行列として異なる複数の行列を付 与して得られる前記線形変換候補の各々について、前記最小値を特定する 請求項1に記載のデータ処理方法。

# 【請求項3】

前記複数の単位線形変換の数がMであり、

前記単位線形変換は、M行M列の行列演算で実現する

請求項2に記載のデータ処理方法。

#### 【請求項4】

前記第1の工程は、前記線型変換候補を、変数行列 $C_1$  ,  $C_2$  ,  $C_3$  ,  $C_4$  を用いて下記式(1)で規定する

請求項3に記載のデータ処理方法。

### 【数1】

$$\begin{pmatrix} I + C_4C_3 + C_2C_1 + C_4C_3C_2C_1 + C_4C_1 & C_2 + C_4C_3C_2 + C_4 \\ C_3 + C_3C_2C_1 + C_1 & I + C_3C_2 \end{pmatrix}$$
••• (1)

## 【請求項5】

前記線形変換が、共通鍵プロック暗号のラウンド関数処理内で規定された線形変換である場合に

前記第2の工程は、平文データを非線形拡散処理して得られた前記入力データに対して前記線形変換を行う

請求項1に記載のデータ処理方法。

## 【請求項6】

前記第3の工程で特定した前記線形変換候補に対応する前記単位線形変換を実現する回路 ブロックを有する線形変換回路を構成する第4の工程

をさらに有する請求項1に記載のデータ処理方法。

#### 【請求項7】

コンピュータによって実行されるプログラムであって、

線形変換を実現する回路上の制約をそれぞれ満たす複数の線形変換候補を特定する第1の手順と、

前記第1の手順で特定した前記複数の線形変換候補のそれぞれについて、複数の入力データに対して当該線形変換候補が規定する線形変換を行ったそれぞれの結果に零が生じる個数の最小値を特定する第2の手順と、

前記第1の手順で特定した前記複数の線形変換候補のうち、前記第2の手順で特定した前記最小値が最大となる前記線形変換候補を特定する第3の手順と

10

20

40

30

を記述したプログラム。

## 【請求項8】

前記第1の手順は、前記複数の線形変換候補として、置換行列内の2つの零領域のうち一方を変数行列で置き換えた複数の単位線形変換の合成である線形変換を特定し、

前記第2の手順は、前記複数の単位線形変換の前記変数行列として異なる複数の行列を付与して得られる前記線形変換候補の各々について、前記最小値を特定する

請求項7に記載のプログラム。

## 【請求項9】

線形変換を実現する回路上の制約をそれぞれ満たす複数の線形変換候補を特定する第1の 手段と、

10

前記第1の手段で特定した前記複数の線形変換候補のそれぞれについて、複数の入力データに対して当該線形変換候補が規定する線形変換を行ったそれぞれの結果に零が生じる個数の最小値を特定する第2の手段と、

前記第1の手段で特定した前記複数の線形変換候補のうち、前記第2の手段で特定した前記最小値が最大となる前記線形変換候補を特定する第3の手段と を有するデータ処理装置。

### 【請求項10】

共通鍵プロック暗号のラウンド関数処理内で規定された線形変換を行う線形変換回路であって、

複数のデータのそれぞれに対応した複数のデータ線と、

20

前記複数のデータ線を介して入力された前記複数のデータに線形変換を順に施す複数の回 路ブロックと

を有し、

前記回路ブロックの各々は、前記複数のデータ線のうち一部の複数の前記データ線上に設けられた演算回路を有し、演算回路が設けられていない各々の前記データ線から最大1個の前記演算回路に対してデータが供給されるように構成されている線形変換回路。

#### 【請求項11】

前記回路ブロックの各々は、前記複数のデータ線を同数の第1のデータ線群と第2のデータ線群とに分けた場合に、前記第1のデータ線群内の前記データ線にのみ前記演算回路を有し、前記第2のデータ線群内の前記データ線から、前記第1のデータ線群内の前記演算回路にデータを出力するように構成されている

請求項10に記載の線形変換回路。

#### 【請求項12】

ラウンド関数処理を行って共通鍵プロック暗号化を行う暗号化装置であって、

前記ラウンド関数処理内で規定された非線形変換を行う非線形変換回路と、

前記非線形変換回路により前記非線形変換が施された入力データに対して線形変換を行う 線形変換回路と

を有し、

前記線形変換回路は、

40

前記入力データを構成する複数のデータのそれぞれに対応した複数のデータ線と、 前記データ線を介して入力された前記複数のデータに線形変換を順に施す複数の回路ブロックと

を有し、

前記回路ブロックの各々は、前記複数のデータ線のうち一部の複数の前記データ線上に設けられた演算回路を有し、演算回路が設けられていない各々の前記データ線から最大 1 個の前記演算回路に対してデータが供給されるように構成されている暗号化装置。

【発明の詳細な説明】

[0001]

## 【発明の属する技術分野】

本発明は、暗号化処理などで規定された線形変換を行う線形変換回路の設計に用いられるデータ処理方法、装置、そのプログラムと、線形変換回路および暗号化装置に関する。

#### [0002]

## 【従来の技術】

情報セキュリティを達成するために種々の暗号化技術開発されている。

このような暗号化技術の一種である共通鍵プロック暗号は、例えば、非線形処理と線形処理(拡散処理)とからなるラウンド関数を規定している。

上記ラウンド関数の非線形処理は、S-boxと呼ばれるユニットで構成され、入出力間の非線形性を実現している。

また、上記ラウンド関数の線形処理は、多ビットからなる入力データの影響を複数ビット に拡散させる線形変換を行う。

このような線形変換を用いる方法として、AES (Advanced Encryption Standard) 等で用いられるMDS (Maximal Distance Separable) を利用したものがある。

MDSは、GF( $2^8$ )等の拡大体上の変換を用いることによって、効率よくビット拡散を行う手法である。

しかしながら、MDSは、実装時に回路構成が複雑になるという欠点がある。

このような決定を解消するものとして、CamelliaおよびE2などの暗号手法がある。この暗号手法では、高速かつ小規模な構成の回路を構成するために、GF(2)上の変換が用いられている。

## [0003]

### 【特許文献1】

特開2002-91295号公報

#### [0004]

## 【発明が解決しようとする課題】

しかしながら、GF(2)上の変換による高い拡散効率を得るために、いわゆるアクティブ(Active) S-box数を最大にする回路構成を、線形変換を実現する回路上の制約とは無関係に、全ての線形変換候補について演算を行って決定しており、膨大な計算量が必要になるという問題がある。

ここで、アクティブSーbox数は、複数の入力データに対して上記ラウンド関数の線形処理を行い、それらの処理結果内に生じる零の数の最小値である。

## [0005]

本発明はかかる事情に鑑みてなされたものであり、その目的は、複数の線形変換候補のなかから、複数の入力データに線形変換を行った結果に零が生じる個数の最小値が最大となる線形変換候補を従来に比べて少ない演算量で特定できるデータ処理方法、その装置および、そのプログラムを提供することを目的とする。

また、本発明は、上述したデータ処理方法、その装置およびそのプログラムによって設計 される線形変換回路および暗号化装置を提供することを目的とする。

#### [0006]

# 【課題を解決するための手段】

上述した目的を達成するために、第1の発明のデータ処理方法は、線形変換を実現する回路上の制約をそれぞれ満たす複数の線形変換候補を特定する第1の工程と、前記第1の工程で特定した前記複数の線形変換候補のそれぞれについて、複数の入力データに対して当該線形変換候補が規定する線形変換を行ったそれぞれの結果に零が生じる個数の最小値を特定する第2の工程と、前記第1の工程で特定した前記複数の線形変換候補のうち、前記第2の工程で特定した前記最小値が最大となる前記線形変換候補を特定する第3の工程とを有する。

#### [0007]

第1の発明のデータ処理方法の作用は以下のようになる。

10

20

30

先ず、第1の工程において、線形変換を実現する回路上の制約をそれぞれ満たす複数の線 形変換候補を特定する。

次に、第2の工程において、前記第1の工程で特定した前記複数の線形変換候補のそれぞれについて、複数の入力データに対して当該線形変換候補が規定する線形変換を行ったそれぞれの結果に零が生じる個数の最小値を特定する。

次に、第3の工程において、前記第1の工程で特定した前記複数の線形変換候補のうち、 前記第2の工程で特定した前記最小値が最大となる前記線形変換候補を特定する。

#### [0008]

第1の発明のデータ処理方法は、好ましくは、前記第1の工程は、前記複数の線形変換候補として、置換行列内の2つの零領域のうち一方を変数行列で置き換えた複数の単位線形変換の合成である線形変換を特定し、前記第2の工程は、前記複数の単位線形変換の前記変数行列として異なる複数の行列を付与して得られる前記線形変換候補の各々について、前記最小値を特定する。

### [0009]

第2の発明のプログラムは、コンピュータによって実行されるプログラムであって、線形変換を実現する回路上の制約をそれぞれ満たす複数の線形変換候補を特定する第1の手順と、前記第1の手順で特定した前記複数の線形変換候補のそれぞれについて、複数の入力データに対して当該線形変換候補が規定する線形変換を行ったそれぞれの結果に零が生じる個数の最小値を特定する第2の手順と、前記第1の手順で特定した前記複数の線形変換候補のうち、前記第2の手順で特定した前記最小値が最大となる前記線形変換候補を特定する第3の手順とを記述している。

## [0010]

第2の発明のプログラムは、コンピュータによって実行され、前述した第1の発明の各工程を実現する。

### [0011]

第3の発明のデータ処理装置は、線形変換を実現する回路上の制約をそれぞれ満たす複数の線形変換候補を特定する第1の手段と、前記第1の手段で特定した前記複数の線形変換候補のそれぞれについて、複数の入力データに対して当該線形変換候補が規定する線形変換を行ったそれぞれの結果に零が生じる個数の最小値を特定する第2の手段と、前記第1の手段で特定した前記複数の線形変換候補のうち、前記第2の手段で特定した前記最小値が最大となる前記線形変換候補を特定する第3の手段とを有する。

## [0012]

第3の発明のデータ処理装置の作用は以下のようになる。

先ず、第1の手段において、線形変換を実現する回路上の制約をそれぞれ満たす複数の線 形変換候補を特定する。

次に、第2の手段において、前記第1の手段で特定した前記複数の線形変換候補のそれぞれについて、複数の入力データに対して当該線形変換候補が規定する線形変換を行ったそれぞれの結果に零が生じる個数の最小値を特定する。

次に、第3の手段において、前記第1の手段で特定した前記複数の線形変換候補のうち、前記第2の手段で特定した前記最小値が最大となる前記線形変換候補を特定する。

## [0013]

第4の発明の線形変換回路は、共通鍵ブロック暗号のラウンド関数処理内で規定された線形変換を行う線形変換回路であって、複数のデータのそれぞれに対応した複数のデータ線と、前記複数のデータ線を介して入力された前記複数のデータに線形変換を順に施す複数の回路ブロックとを有し、前記回路ブロックの各々は、前記複数のデータ線のうち一部の複数の前記データ線上に設けられた演算回路を有し、演算回路が設けられていない各々の前記データ線から最大1個の前記演算回路に対してデータが供給されるように構成されている。

## [0014]

第5の発明の暗号化装置は、ラウンド関数処理を行って共通鍵ブロック暗号化を行う暗号

.

30

化装置であって、前記ラウンド関数処理内で規定された非線形変換を行う非線形変換回路と、前記非線形変換回路により前記非線形変換が施された入力データに対して線形変換を行う線形変換回路とを有し、前記線形変換回路は、前記入力データを構成する複数のデータのそれぞれに対応した複数のデータ線と、前記データ線を介して入力された前記複数のデータに線形変換を順に施す複数の回路ブロックとを有し、前記回路ブロックの各々は、前記複数のデータ線のうち一部の複数の前記データ線上に設けられた演算回路を有し、演算回路が設けられていない各々の前記データ線から最大1個の前記演算回路に対してデータが供給されるように構成されている。

#### [0015]

### 【発明の実施の形態】

10

以下、本発明の実施形態に係わる回路設計方法および暗号化装置について説明する。 先ず、本実施形態の回路設計方法によって設計される線形変換回路を組み込んだ暗号化装 置について説明する。

図1は、本実施形態の暗号化装置1の構成図である。

暗号化装置1は第5の発明の暗号化装置に対応している。

図1に示すように、暗号化装置1は、例えば、鍵生成回路2、初期処理回路3、N個のFeistel構造モジュール4\_1~4\_Nおよび後処理回路5を有する。ここで、Nは2以上の整数である。

暗号化装置1は、共通鍵プロック暗号を行う。

## [0016]

20

30

鍵生成回路 2 は、鍵データ K 1 , K 2 \_ 1 ~ K 2 \_ N , K 3 を生成し、鍵データ K 1 を初期処理回路 3 に出力し、鍵データ K 2 \_ 1 ~ K 2 \_ N をそれぞれ F e i s t e l 構造モジュール 4 \_ 1 ~ 4 \_ N に出力し、鍵データ K 3 を後処理回路 5 に出力する。

### [0017]

初期処理回路3は、入力した平文データPTに初期変換を施してデータS3を生成する。 データS3は、例えば、128ビットのデータである。

初期処理回路3は、データS3の下位64ビットのデータS3aをFeistel構造モジュール4\_1のF関数回路11に出力し、下位64ビットのデータS3bをFeistel構造モジュール4\_1のXOR(eXclusive OR:排他的論理和) 回路12に出力する。

# [0018]

Feistel構造モジュール4\_1~4\_Nの各々は、F関数回路11およびXOR回路12を有する。

Feistel構造モジュール 4 \_ 1 ~ 4 \_ N は、直列に接続され、同じ構成を有している。

以下、Feiste1構造モジュール4\_1について説明する。

F 関数回路 1 1 は、初期処理回路 3 からのデータ S 3 a に対して、非線形処理および線形処理(拡散処理)を施して、データ S 1 1 を生成し、これを X O R 回路 1 2 に出力する。 F 関数回路 1 1 は、本発明のラウンド関数処理を行う。

F関数回路11の構成については、後に詳細に説明する。

#### 40

# [0019]

 $XOR回路12は、初期処理回路3からのデータS3bとF関数回路11からのデータS11との排他的論理和を演算し、その結果であるデータS12を後段のFeistel構造モジュール4<math>\_$ 2のF関数回路11に出力する。

また、F関数回路 1 1 は、初期処理回路 3 からのデータ S 3 a を後段の F e i s t e l 構造モジュール 4 \_ 2 の X O R 回路 1 2 に出力するように構成されている。

その前段のFeistel構造モジュール4\_N-1からのデータS3aを下位64ビットとし、Feistel構造モジュール4\_NのXOR回路12からのデータS12を上位64ビットとした128ビットのデータが、最終段のFeistel構造モジュール4\_Nから後処理回路5に出力される。

## [0020]

後処理回路 5 は、 Feistel構造モジュール 4 \_ Nからの 1 2 8 ビットのデータに対して、鍵生成回路 2 からの鍵データ K 3 を用いて後処理を行い、その結果である暗号化データ C T を出力する。

## [0021]

以下、図1に示すF関数回路11の構成について説明する。

図2は、図1に示すF関数回路11の構成図である。

図2に示すように、F関数回路11は、例えば、XOR部21、非線形変換部22、線形変換部23、XOR部24および非線形変換部25を有する。

ここで、非線形変換部22が第5の発明の非線形変換回路に対応している。

また、線形変換部23が第1の発明~第3の発明を用いた設計対象となり、第4および第 5の発明の線形変換回路に対応している。

### [0022]

F 関数回路 1 1 では、入力された 6 4 ビットのデータ S 3 a が、各々 8 ビットの 8 個のデータモジュールに分割されて処理される。

XOR部21は、データS3aを分割して得られた8個のデータモジュールの各々に対して、鍵生成回路2から入力した鍵データK1との排他的論理和演算を施し、その結果をそれぞれ非線形変換部22に出力する。

# [0023]

非線形変換部22は、上記8個のデータモジュールに対応してそれぞれ設けられた非線形 20変換回路31を有し、非線形変換回路31において、入力したデータモジュールに対して非線形変換処理を施し、その結果である8個のデータモジュールを線形変換部23に出力する。

非線形変換回路31は、例えば、S-boxと呼ばれる。

#### [0024]

線形変換部23は、非線形変換部22からのデータをバイト単位でGF(2)上の演算である拡散処理を行う。

線形変換部23は、非線形変換部22から入力した8個のデータモジュールをそれぞれ伝送する8個のデータ線26\_1~26\_8(第4および第5の発明のデータ線)を有する

線形変換部 2 3 は、図 2 に示すように、直列に接続された 4 個の回路ブロック 4 1 \_\_ 1 ~ 4 1 \_\_ 4 (第 4 および第 5 の発明の回路ブロック)を有する。

回路ブロック41\_1は、データ線26\_5~26\_8上の各々にXOR回路(第4および第5の発明の演算回路)を配設している。

また、データ線 2 6 \_ 1 , 2 6 \_ 2 , 2 6 \_ 3 , 2 6 \_ 4 上のデータモジュールが、各々データ線 2 6 \_ 5 , 2 6 \_ 6 , 2 6 \_ 7 , 2 6 \_ 8 上の X O R 回路に入力されるように配線されている。

回路ブロック 4 1 \_ 2 は、データ線 2 6 \_ 1 ~ 2 6 \_ 4 上の各々に X O R 回路を配設している。

# [0025]

また、データ線 2 6 \_ 5 , 2 6 \_ 6 , 2 6 \_ 7 , 2 6 \_ 8 上のデータモジュールが、各々データ線 2 6 \_ 3 , 2 6 \_ 4 , 2 6 \_ 1 , 2 6 \_ 2 上の X O R 回路に入力されるように配線されている。

また、データ線 2 6 \_\_ 1 , 2 6 \_\_ 2 , 2 6 \_\_ 3 , 2 6 \_\_ 4 上のデータモジュールが、各々データ線 2 6 \_\_ 6 , 2 6 \_\_ 7 , 2 6 \_\_ 8 , 2 6 \_\_ 5 上の X O R 回路に入力されるように配線されている。

また、データ線 2 6 \_ 5 , 2 6 \_ 6 , 2 6 \_ 7 , 2 6 \_ 8 上のデータモジュールが、各々データ線 2 6 \_ 1 , 2 6 \_ 2 , 2 6 \_ 3 , 2 6 \_ 4 上の X O R 回路に入力されるように配 線されている。

# [0026]

40

30

10

XOR部24は、線形変換部23から入力した8個のデータモジュールの各々に対して、 鍵生成回路2から入力した鍵データK3との排他的論理和演算を施し、その結果をそれぞ れ非線形変換部25に出力する。

# [0027]

非線形変換部25は、XOR部24からの上記8個のデータモジュールに対応してそれぞれ設けられた非線形変換回路32を有し、非線形変換回路32において、入力したデータモジュールに対して非線形変換処理を施し、その結果である8個のデータモジュールを出力する。

非線形変換回路32は、例えば、S-boxと呼ばれる。

非線形変換部25から出力された8個のデータモジュールは、図2に示すように、組み合わされて図1に示すデータS11としてX0R回路12に出力される。

#### [0028]

以下、図2に示すF関数回路11の線形変換部23の設計方法について説明する。

#### [0029]

図3は、図2に示すF関数回路11の線形変換部23の設計に用いられるコンピュータ39を説明するための図である。

図3に示すように、コンピュータ39は、例えば、メモリ51、操作部52、ディスプレイ53およびCPU54を有し、これらがバス50を介して接続されている。

ここで、コンピュータ39が第3の発明のデータ処理装置に対応している。

メモリ51は、コンピュータ39が実行するプログラム48(第2の発明のプログラム) 、並びにコンピュータ39によるプログラム48の実行に用いられる種々のデータを記憶 する。

操作部 5 2 は、キーボードやマウス等であり、ユーザによる操作に応じた操作信号を C P U 5 4 に出力する。

ディスプレイ53は、コンピュータ39の処理結果を表示する。

CPU54は、メモリ51から読み出したプログラム58を実行し、図2に示すF関数回路11の設計処理を行う。

CPU54は、複数の線形変換候補のうち、当該線形変換候補を実現する回路上の制約を満たす複数の前記線形変換候補を特定し、当該特定した線形変換候補のそれぞれについて複数の入力データを基に線形変換処理を行い、それらの処理結果内に生じる零の数の最小値(いわゆるアクティブS-box)を求め、その最小値を最大とする線形変換候補を特定する。そして、CPU54は、当該特定した線形変換候補を基に、図2に示す線形変換部23を構成する。

#### [0030]

以下、СРU54の設計処理手順(本実施形態の設計方法)を説明する。

図4は、CPU54の設計処理手順を説明するためのフローチャートである。

以下の手順の一部は、例えば、CPU54がディスプレイ53に表示した操作画面を基にユーザが行った操作部52の操作に応じて、ユーザとCPU54との間で対話形式で行われる。

なお、図4に示すステップST1~ST3が第1の発明の第1の工程、第2の発明の第1の手順、並びに第3の発明の第1の手段に対応している。

ステップST4~ST9が第1の発明の第2の工程、第2の発明の第2の手順、並びに第3の発明の第2の手段に対応している。

ステップ S T 1 0 が第 1 の発明の第 3 の工程、第 2 の発明の第 3 の手順、並びに第 3 の発明の第 3 の手段に対応している。

# [0031]

ステップST1:

ユーザは、設計対象の図 2 に示す線形変換部 2 3 の線形変換を例えば、 4 つの線形変換ブロックに分割して規定し、その情報を操作部 5 2 を介して C P U 5 4 に与える。

# [0032]

ステップST2:

C~P~U~5~4~tu、ステップ S~T~1~で受けた情報を基に、下記式(2), (3), (4), (5)に示すように、各々 4 × 4 の行列である変数行列 C  $_1$  , C  $_2$  , C  $_3$  , C  $_4$  を用いて、行列 D  $_1$  , D  $_2$  , D  $_3$  , D  $_4$  を規定する。

具体的には、図2に示すように、上位あるいは下位の4本のデータ線上にXOR回路を設け、当該XOR回路が設けられていない4本のデータ線から、それぞれ異なる上記XOR回路にデータモジュールを出力するように回路ブロック41\_1~41\_4を構成できる

すなわち、本実施形態では、上述したように行列  $D_1\sim D_4$  を規定することで、回路上の制約を満たさないものについては、行列  $D_1\sim D_4$  の候補から予め除外することができる。

[0033].

【数2】

$$D_{1} = \begin{pmatrix} I & O \\ C_{1} & I \end{pmatrix} \cdots (2)$$

$$D_{2} = \begin{pmatrix} I & C_{2} \\ O & I \end{pmatrix} \cdots (3)$$

$$D_{3} = \begin{pmatrix} I & O \\ C_{3} & I \end{pmatrix} \cdots (4)$$

$$D_{4} = \begin{pmatrix} I & C_{4} \\ O & I \end{pmatrix} \cdots (5)$$

$$30$$

[0034]

ステップST3:

C~P~U~5~4~は、下記式(6),(7)に示すように、ステップS~T~2~で規定した行列 $_1$ , $D~_2~$ , $D~_3~$ , $D~_4~$  を合成した行列~A~(本発明の線形変換候補)を算出する。【~0~0~3~5~】

【数3】

**4**Ω

【0036】 【数4】

$$A = \begin{pmatrix} I & C_4 \\ O & I \end{pmatrix} \begin{pmatrix} I & O \\ C_3 & I \end{pmatrix} \begin{pmatrix} I & C_2 \\ O & I \end{pmatrix} \begin{pmatrix} I & O \\ C_1 & I \end{pmatrix}$$

$$= \begin{pmatrix} I + C_4C_3 + C_2C_1 + C_4C_3C_2C_1 + C_4C_1 & C_2 + C_4C_3C_2 + C_4 \\ C_3 + C_3C_2C_1 + C_1 & I + C_3C_2 \end{pmatrix}$$

$$\cdots (7)$$

[0037]

ステップST4:

.

10

CPU54は、ステップST3で生成した行列A内の変数行列C1 , C2 , C3C4 の各要素に所定の値を与える。

これにより、本発明にいう、「複数の線形変換候補の特定」が行われる。

なお、СРU54は、ステップST9からのループバックにより当該ステップST4の処理を複数回行い、その度に、異なる行列Aを規定する。

[0038]

ステップST5:

CPU54は、予め決められた複数の入力データ(本発明の入力データ)のうち、次に行列Aに入力する、すなわち行列Aによる演算対象とする入力データを決定する。

なお、 C P U 5 4 は、ステップ S T 8 からのループバックにより当該ステップ S T 5 の処理を複数回行い、その度に、異なる入力データを決定する。

[0039]

ステップST6:

CPU54は、ステップST5で決定した入力データに対してステップST4で決定した行列Aの演算を行う。

ステップST7:

CPU54は、ステップST6の演算結果(64ビットデータ)内に含まれる零(0)の数を計数し、その計数値が、それまで計数した最小値より小さい場合に最小値を更新する。CPU54は、全ての行列Aの各々について当該最小値(本発明の最小値)を求める。

[0040]

ステップST8;

CPU54は、上記予め決められた全ての入力データについて、ステップST6の処理を行ったか否かを判断し、行ったと判断した場合にステップST9の処理に進み、そうでない場合にステップST5の処理に戻る。

ステップST9;

CPU54は、変数行列C<sub>1</sub> , C<sub>2</sub> , C<sub>3</sub> , C<sub>4</sub> を用いて規定可能な全ての行列 A について、ステップ ST6 の処理を行ったか否かを判断し、行ったと判断した場合にステップ ST10 の処理に進み、そうでない場合にステップ ST4 の処理に戻る。

[0041]

ステップST10:

4

30

CPU54は、ステップST2で最終的に得られた全ての行列Aの最小値のうち、最大の最小値を出した行列Aを特定する。

ステップST11:

C~P~U~5~4~tk、ステップ S~T~1~0~で特定した行列 A~で用いられた変数行列 C~1~,C~2~~,C~3~~,C~4~~を用いて図 2 示す線形変換部 2~3~の回路ブロック 4~1~1~4~を構成(設計)する。

[0042]

以上説明したように、本実施形態の設計方法によれば、複数の線形変換候補のうち、当該線形変換候補を実現する回路上の制約を満たす複数の前記線形変換候補を特定し、当該特定した線形変換候補のなかから、線形変換を行った結果に零が生じる個数の最小値を最大

にする線形演算候補を探索 (特定) するため、全ての線形変換候補を対象としてを探索を 行う場合に比べて、演算量を大幅に削減できる。

具体的には、本実施形態の設計方法によれば、変数行列 $C_1 \sim C_4$  の各々は $4 \times 4$  の行列であるため、 $4 \cdot !$  (4 の階乗)通りの候補がある。従って、( $C_1$  , $C_2$  , $C_3$ 

, $C_4$  )の組み合わせは、(4!) $^4$  通り、すなわち線形変換候補は、約 $2^{1/8}$  通りになる。

これに対して、従来では、GF(2)上の $8\times8$ 行列の全てを線形変換候補するため、線形変換候補は $2^{6-4}$ 通りになる。

従って、本実施形態の設計方法によれば、設計に伴う演算量を従来に比べて大幅に削減できる。これにより、本実施形態によれば、線形変換部23の設計を実用的な時間で行うことが可能になる。

#### [0043]

本発明は上述した実施形態には限定されない。

上述した実施形態では、GF(2)上の変換をバイト単位で行い、32ビット演算を高速に行う場合を例示したが、本発明は、例えば、16ビットワードをGF(2)上の変換の単位として64ビット演算を行ったり、バイトをGF(2)上の変換の単位として64ビット演算を行うことで、上記線形変換を行うように設計を行ってもよい。

#### [0044]

### 【発明の効果】

以上説明したように、本発明によれば、複数の線形変換候補のなかから、複数の入力データに線形変換を行った結果に零が生じる個数の最小値が最大となる線形変換候補を従来に 比べて少ない演算量で特定できるデータ処理方法、その装置および、そのプログラムを提供できる。

また、本発明によれば、上述した本発明のデータ処理方法、その装置およびそのプログラムによって設計される線形変換回路および暗号化装置を提供できる。

#### 【図面の簡単な説明】

【図1】図1は、本発明の実施形態に係わる暗号化装置の構成図である。

【図2】図2は、図1に示すF関数回路の構成図である。

【図3】図3は、図2に示すF関数回路の線形変換部の設計に用いられるコンピュータを説明するための図である。

【図4】図4は、図3に示すCPUの設計処理手順を説明するためのフローチャートである。

# 【符号の説明】

1 … 暗号化装置、2 … 鍵生成回路、3 … 初期処理回路、4 \_\_ 1 ~ 4 \_\_ N … Feistel 構造モジュール、5 … 後処理回路、1 1 … F関数回路、1 2 … X O R 回路、2 1 … X O R 部、2 2 … 非線形変換部、2 3 … 線形変換部、2 4 … X O R 部、2 5 … 非線形変換部、4 1 \_\_ 1 ~ 4 1 \_\_ 4 … 回路ブロック、3 9 … コンピュータ、5 1 … メモリ、5 2 … 操作部、5 3 … ディスプレイ、5 4 … C P U、5 8 … プログラム

10

[図1]



[図2]



【図3】



[図4]



